SentinelOne

구독
다운로드 43
업데이트 2026. 5. 8.

설치 매뉴얼

AWS S3 설정

SentinelOne Cloud Funnel 로그를 S3를 통해 수집하려면 AWS 환경을 먼저 구성해야 합니다. SentinelOne API로만 수집하는 경우 이 과정을 건너뛰어도 됩니다.

Note
이 문서에서 설명하는 내용이 AWS 공식 설명서(https://docs.aws.amazon.com/)와 다른 경우, AWS 공식 설명서의 내용이 우선합니다. 이 문서의 AWS 설정 방법은 참고만 하시기 바랍니다.

SentinelOne Cloud Funnel 내보내기 설정

SentinelOne 관리 콘솔에서 Cloud Funnel 기능을 활성화하고 S3 버킷에 텔레메트리 데이터를 내보내도록 설정하세요. Cloud Funnel은 EDR 이벤트 및 OCSF 형식의 탐지 결과를 S3 버킷으로 실시간 내보냅니다.

IAM 정책 설정

로그프레소 소나가 Cloud Funnel S3 버킷에서 로그를 수집하려면 IAM 정책을 설정해야 합니다.

IAM 서비스 화면에서 아래 JSON을 사용해 IAM 정책을 생성하세요. BUCKET_NAME은 Cloud Funnel이 내보내기 대상으로 사용하는 실제 S3 버킷 이름으로 변경하세요.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SentinelOneCloudFunnelRead",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::BUCKET_NAME",
                "arn:aws:s3:::BUCKET_NAME/*"
            ]
        }
    ]
}

수집 후 S3 객체를 자동으로 삭제하려면 (수집 후 삭제 옵션 활성화 시) 아래 권한도 추가하세요.

{
    "Sid": "SentinelOneCloudFunnelDelete",
    "Effect": "Allow",
    "Action": [
        "s3:DeleteObject"
    ],
    "Resource": [
        "arn:aws:s3:::BUCKET_NAME/*"
    ]
}

IAM 사용자 설정

  1. IAM 서비스에서 새 사용자를 생성하고 위에서 만든 정책을 연결하세요.
  2. 사용자 생성 후 액세스 키 ID비밀 액세스 키를 복사하여 안전한 곳에 보관하세요. 이 단계를 지나가면 비밀 액세스 키를 다시 확인할 수 없습니다.

로그프레소 접속 프로파일 설정

SentinelOne 접속 프로파일

이 문서를 참고해 접속 프로파일을 추가하세요.

SentinelOne 접속 프로파일 설정

다음은 접속 프로파일 설정 중 필수 입력 항목입니다.

  • 이름: 접속 프로파일을 식별할 고유한 이름
  • 식별자: 로그프레소 쿼리 등에서 사용할 접속 프로파일의 고유 식별자
  • 유형: SentinelOne 선택
  • 엔드포인트: https://TENANT.sentinelone.net 형식의 주소 (필수)
  • API 토큰: SentinelOne에서 발급한 API 토큰 (필수)

SentinelOne Cloud Funnel S3 접속 프로파일

SentinelOne Cloud Funnel 로그를 S3에서 수집하려면 별도의 접속 프로파일을 추가해야 합니다. 이 문서를 참고해 접속 프로파일을 추가하세요.

SentinelOne Cloud Funnel S3 접속 프로파일 설정

다음은 접속 프로파일 설정 중 필수 입력 항목입니다.

  • 이름: 접속 프로파일을 식별할 고유한 이름
  • 식별자: 로그프레소 쿼리 등에서 사용할 접속 프로파일의 고유 식별자
  • 유형: SentinelOne Cloud Funnel S3 선택
  • 액세스 키: IAM 사용자에게 발급한 AWS 액세스 키 ID (필수)
  • 비밀 키: IAM 사용자에게 발급한 AWS 비밀 액세스 키 (필수)
  • 버킷: SentinelOne Cloud Funnel이 로그를 내보내는 S3 버킷 이름 (필수)
  • 접두사: S3 객체 키 접두사 (필수, 예: s1/cloud_funnel/)
  • 리전: S3 버킷이 위치한 AWS 리전 (예: ap-northeast-2)

로그프레소 수집 설정

SentinelOne 경보 로그 수집 설정

이 문서를 참고해 수집기를 추가하세요. 기본 설치되는 대시보드 및 데이터셋은 이름이 EDR_SENTINELONE로 시작하는 테이블을 참조합니다.

SentinelOne 경보 로그 수집 설정

다음은 수집기 설정 중 필수 입력 항목입니다.

  • 이름: 수집기를 식별할 고유한 이름
  • 주기: 60초
  • 적재 위치/수집 위치: 로그프레소 플랫폼 구성에 따라 적합한 노드 선택
  • 수집 모델: SentinelOne Alert 선택
  • 테이블: EDR_SENTINELONE로 시작하는 테이블 이름 입력
  • 접속 프로파일: 이전 단계에서 설정한 SentinelOne 접속 프로파일 식별자
  • 모니터링 대상 일수: 최초 수집 시 소급 조회할 기간 (1~365일, 기본값: 365)

SentinelOne 활동 로그 수집 설정

이 문서를 참고해 수집기를 추가하세요.

SentinelOne 활동 로그 수집 설정

다음은 수집기 설정 중 필수 입력 항목입니다.

  • 이름: 수집기를 식별할 고유한 이름
  • 주기: 60초
  • 적재 위치/수집 위치: 로그프레소 플랫폼 구성에 따라 적합한 노드 선택
  • 수집 모델: SentinelOne Activity 선택
  • 테이블: EDR_SENTINELONE_ACTIVITY로 시작하는 테이블 이름 입력
  • 접속 프로파일: 이전 단계에서 설정한 SentinelOne 접속 프로파일 식별자
  • 모니터링 대상 일수: 최초 수집 시 소급 조회할 기간 (1~365일, 기본값: 365)

SentinelOne Cloud Funnel 로그 수집 설정

이 문서를 참고해 수집기를 추가하세요. Cloud Funnel 수집기는 S3 버킷에 저장된 EDR 이벤트 및 탐지 결과를 수집합니다.

Note
SentinelOne의 탐지 결과는 OCSF(Open Cybersecurity Schema Framework) 형식으로 생성됩니다. OSCF는 사이버 보안 이벤트 데이터를 표준화된 형식으로 표현하기 위한 오픈소스 스키마로, 여러 보안 벤더의 데이터를 통일된 구조로 정규화해 분석을 용이하게 해줍니다.

SentinelOne Cloud Funnel 로그 수집 설정

다음은 수집기 설정 중 필수 입력 항목입니다.

  • 이름: 수집기를 식별할 고유한 이름
  • 주기: 60초
  • 적재 위치/수집 위치: 로그프레소 플랫폼 구성에 따라 적합한 노드 선택
  • 수집 모델: SentinelOne Cloud Funnel 선택
  • 테이블: EDR_SENTINELONE_FUNNEL로 시작하는 테이블 이름 입력
  • 접속 프로파일: 이전 단계에서 설정한 SentinelOne Cloud Funnel S3 접속 프로파일 식별자
  • 수집 후 삭제: 수집 완료 후 S3 객체 자동 삭제 여부 (기본값: 비활성화)
  • 최초 수집 기간 (일): 수집 상태가 없을 때 최초 실행 시 소급 수집할 기간 (기본값: 7일)
  • 겹침 윈도우 (분): 늦게 도착하는 데이터를 처리하기 위한 재스캔 범위 (기본값: 60분)